Datenschutz

Gemeinsame Datenschutzerklärung der Quirin Privatbank AG sowie der YPOG Partnerschaft von Rechtsanwälten und Steuerberatern mbB Schnittker + Partner

Mit dieser Datenschutzerklärung möchten wir, die („Auftraggeber“), bestehend aus
  • Quirin Privatbank AG
  • quirion AG,
und der YPOG Partnerschaft von Rechtsanwälten und Steuerberatern mbB Schnittker + Partner („Auftragnehmer“), Sie als Nutzer des von YPOG eingerichteten und betriebenen internen Whistleblowing-Services „YStle“ von dem Auftraggeber darüber informieren, welche Daten im Zuge einer Meldung erhoben, zu welchen Zwecken diese Daten verarbeitet werden, wie die Kommunikation zwischen Ihnen und uns erfolgt, wie Ihre Daten geschützt und inwieweit sie übertragen werden, welche Rechte Ihnen im Hinblick auf diese Daten zustehen sowie über nützliche Kontaktdaten. Die Erhebung und Verarbeitung personenbezogener Daten erfolgt gemäß geltendem Recht, namentlich der Datenschutzgrundverordnung (DSGVO), dem aktuellen Bundesdatenschutzgesetz (BDSG) und dem Hinweisgeberschutzgesetz (HinSchG).

1. Zweck des Hinweisgebersystems

Der Whistleblowing-Service von YPOG ist ein interner Meldekanal im Sinne der europäischen Whistleblowing Richtlinie und des (künftigen) deutschen Hinweisgeberschutzgesetzes. Es dient dazu, den Mitarbeitern, Geschäftspartnern und Kunden von dem Auftraggeber sowie sonstigen Personen, die im Rahmen ihrer beruflichen Tätigkeit mit dem Auftraggeber in Kontakt stehen, die Möglichkeit zu geben, ihnen bekannt gewordene Tatsachen zu berichten, die auf gravierende Missstände in diesem Unternehmen hindeuten. Zu diesem Zweck werden Ihre Daten verarbeitet, wenn Sie uns diese nennen. Bei einer Meldung können Sie aber auch - ebenso wie bei einer weiteren Kommunikation mit uns - anonym bleiben. Dies empfehlen wir Ihnen aus dem unter 2. genannten Grund.

2. Datenverarbeitung

Wir erheben und verarbeiten nur solche personenbezogenen Daten, die Sie mit Ihrer Meldung preisgeben. Ihre IP-Adresse ist uns nicht zugänglich. Cookies werden nicht gesetzt. Es handelt sich also um Ihre personenbezogenen Daten (wenn Sie keine anonyme Meldung abgeben) und personenbezogene Daten dritter Personen, wenn diese im Rahmen Ihrer Meldung ersichtlich sind.

Die von Ihnen preisgegebenen personenbezogenen Daten werden zum Zwecke der Auswertung Ihrer Meldung und die sich möglicherweise anschließende Fallbearbeitung durch den Auftraggeber, YPOG und ggf. von dem Auftraggeber beauftragte und besonders zur Verschwiegenheit verpflichtete interne oder externe Fallbearbeiter verarbeitet.

a. Ihre personenbezogenen Daten

Wir empfehlen Ihnen, Ihre Meldung anonym abzugeben.

Wichtige Hinweise in diesem Zusammenhang:

Wenn Sie uns trotz unserer Empfehlung Ihre Identität offenbaren, werden wir Ihre Daten streng vertraulich behandeln. Es ist allerdings nicht auszuschließen, dass dritte Personen, die von Ihrer Meldung betroffen sind, gem. Art. 14 DSGVO darüber informiert werden müssen, aus welcher Quelle die sie betreffenden Daten stammen. Möglicherweise werden Betroffene also über Ihre Identität informiert. Ggf. muss diese Unterrichtung, wie gesetzlich als Regelfall vorgesehen, binnen eines Monats nach der Meldung erfolgen, spätestens aber, wenn sie die Aufklärung des Sachverhalts oder notwendige Maßnahmen nicht mehr ernsthaft beeinträchtigt. Dies sollten Sie bei Ihrer Entscheidung über die Preisgabe Ihrer Identität berücksichtigen.

Wenn Sie Ihre Daten offenbaren, erklären Sie damit konkludent gem. Art. 6 Abs. 1 lit. a DSGVO Ihre Einwilligung zu deren Verarbeitung. Diese Einwilligung können Sie gem. Art. 7 DSGVO widerrufen, dies ist jedoch wirkungslos, soweit die Daten mit Ihrer Einwilligung weitergegeben wurden und die vorerwähnte Unterrichtung betroffener Dritter bereits stattgefunden hat.

Wir können ebenfalls nicht ausschließen, dass Ihre Daten im Rahmen der geltenden Gesetze an eine Behörde oder ein Gericht weitergegeben werden müssen.

b. Personenbezogene Daten Dritter

Beschränken Sie bitte die Eingabe personenbezogener Daten dritter Personen auf das für die Auswertung und Bearbeitung Ihrer Meldung unbedingt Notwendige.

Gesetzliche Grundlage für die Verarbeitung der personenbezogenen Daten Dritter, welche für die Auswertung Ihrer Meldung und die möglicherweise anschließende Fallbearbeitung unerlässlich ist, ist das berechtigte Interesse von dem Auftraggeber, interne Missstände aufklären zu können (Art. 6 Abs. 1 lit. f DSGVO).

3. Kommunikation mit Ihnen

Ihre Meldung und die ggf. anschließende Kommunikation mit Ihnen ist inhaltlich verschlüsselt im IT-System abgelegt und Unbefugten nicht zugänglich. Der alleinige
Schlüssel zur geschützten Kommunikation besteht in einem von Ihnen vergebenen Passwort sowie einer vom System nach Ihrer Meldung generierten und Ihnen mitgeteilten Case-ID. Sie sind gebeten, sich mit Ihrem Passwort und der ihrer Meldung zugeordneten Case-ID in nicht zu großen Abständen einzuloggen, um Nachrichten unserer Fallbearbeiter zur Kenntnis zu nehmen und Fragen beantworten zu können. Auf der Plattform können Dateien (Textdateien, PDFs und Fotos) hochgeladen werden. Auch sie werden inhaltlich verschlüsselt abgelegt.

Der Auftraggeber und YPOG haben einen passwortgeschützten Zugang zur Kommunikation mit Ihnen.

Für notwendige interne Untersuchungen des Sachverhalts werden von dem Auftraggeber beauftragte und besonders zur Verschwiegenheit verpflichtete externe Fallbearbeiter ggf. über den Inhalt der Meldung und der anschließenden Kommunikation mit den jeweiligen Hinweisgebern unterrichtet.

4. Datensicherheit und Datenübertragung

Wir stellen die Sicherheit der von uns erhobenen und verarbeiten Daten sicher, indem wir technische und organisatorische Maßnahmen getroffen haben, um diesen Schutz zu gewährleisten. Zum Inhalt der Meldungen haben nur der Auftraggeber, YPOG oder ggf. von dem Aufraggeber designierte Fallbearbeiter Zugang. Dies kann eine qualifizierte externe Stelle wie z.B. eine Anwaltskanzlei, oder ein besonders zur Verschwiegenheit verpflichteter und mit Unabhängigkeit ausgestatteter Fallbearbeiter dieses Unternehmens sein. Ihre Meldungen werden sofort inhaltlich verschlüsselt und so auf der Plattform abgelegt. Auch eine sich anschließende Kommunikation mit Ihnen wird inhaltlich verschlüsselt. Eine Entschlüsselung findet nur statt, wenn Sie sich mit Ihrer Case-ID + Passwort oder sich Fallbearbeiter von dem Auftraggeber oder YPOG einloggen.

Der IT-Betreuer der Plattform und der Host haben zu keinem Zeitpunkt Zugang zu den Inhalten der Meldung oder der Kommunikation mit Ihnen. Die Server, auf welcher die Meldungen gespeichert werden, befinden sich in der Bundesrepublik Deutschland. Die Verarbeitung personenbezogener Daten durch IT-Betreuer und Host erfolgt in unserem Auftrag und strikt nach unseren Weisungen auf der Grundlage entsprechender Verträge über eine Auftragsverarbeitung nach Art. 28 DSGVO.

Die in der Meldung und der weiteren Kommunikation enthaltenen Daten werden zu keinem Zeitpunkt außerhalb der EU/des EWR transferiert.

5. Löschung Ihrer Daten

Sollten Sie uns im Dialog Ihre personenbezogenen Daten übermittelt haben, werden diese so lange aufbewahrt, wie es die Aufklärung und abschließende Beurteilung des gemeldeten Sachverhaltes erfordert. Nach Abschluss der Hinweisbearbeitung werden diese Daten entsprechend den gesetzlichen Vorgaben gelöscht.

6. Unsere Rollenverteilung

Wir bilden gemeinsam die interne Meldestelle des Auftraggebers, wobei Ihre Meldung zunächst von YPOG entgegengenommen und bearbeitet wird. YPOG übernimmt ggf. auch die weitere Kommunikation mit Ihnen. Im Rahmen der internen Meldestelle werden von uns gemeinsam der Inhalt der Meldung analysiert und notwendige Folgemaßnahmen ergriffen.
Ihnen gegenüber werden Ihre Rechte und die Ihnen gegenüber bestehenden Informationspflichten von dem Auftraggeber und YPOG erfüllt. Soweit Angehörige des Auftraggebers von der Meldung betroffen sind, werden deren Rechte und die ihnen gegenüber bestehenden Informationspflichten von dem Auftraggeber erfüllt.

7. Ihre Rechte als Betroffener der Verarbeitung Ihrer personenbezogenen Daten

Die folgenden Rechte stehen Ihnen aufgrund der anwendbaren Datenschutzgesetze zur Verfügung:
  • Recht auf Auskunft über die bei uns zu Ihrer Person gespeicherten Daten
  • Recht auf Löschung oder Einschränkung der Verarbeitung
  • Recht auf Berichtigung Ihrer personenbezogenen Daten
  • Recht auf Datenübertragbarkeit
  • Recht, sich bei einer Aufsichtsbehörde zu beschweren
  • Von Ihnen erteilte Einwilligungen zur Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
Falls Sie von Ihren Rechten Gebrauch machen möchten, richten Sie bitte Ihr Anliegen an folgende E-Mailadresse:

datenschutz@ypog.law oder

Berliner Beauftragte für Datenschutz und Informationsfreiheit (Alt-Moabit 59-61, 10555 Berlin)

8. Verantwortlicher für den Datenschutz

Verantwortlich für den Datenschutz sind gemeinsam

Quirin Privatbank AG und

YPOG Partnerschaft von Rechtsanwälten
und Steuerberatern mbB Schnittker + Partner
Neuer Wall 80
20354 Hamburg

und – falls der Hinweis sie betrifft –

quirion AG

9. Beschwerderecht

Wenn Sie der Ansicht sind, dass die Verarbeitung Sie betreffender personenbezogener Daten gegen die DSGVO, das BDSG oder das Hinweisgeberschutzgesetz verstößt, haben Sie das Recht auf Beschwerde bei einer zuständigen Datenschutzaufsichtsbehörde.




Stand: 05.07.2023